[Spring] Filter와 OncePerRequestFilter
들어가기 전에
spring-security-jwt프로젝트를 진행하면서 Filter를 구현할 때, Filter가 아닌 OncePerRequestFilter를 상속하는 이유를 알아보자
클라이언트에 요청이 올때 가장 먼저 Filter를 호출하고 응답을 줄때는 가장 마지막으로 호출한다.
Filter
- javax.servlet-api나 tomcat-embed-core를 사용하면 제공되는 Servlet Filter Interface이다.
- DispatcherServlet가 요청을 받기 전 앞단에 Filter에서 먼저 request를 받는다.
package jakarta.servlet;
import java.io.IOException;
public interface Filter {
public default void init(FilterConfig filterConfig) throws ServletException {}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException;
public default void destroy() {}
}
OncePerRequestFilter
- GenericFilterBean을 상속하고 있다.
public abstract class OncePerRequestFilter extends GenericFilterBean {
public static final String ALREADY_FILTERED_SUFFIX = ".FILTERED";
public OncePerRequestFilter() {
}
public final void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws ServletException, IOException {
if (request instanceof HttpServletRequest && response instanceof HttpServletResponse) {
HttpServletRequest httpRequest = (HttpServletRequest)request;
HttpServletResponse httpResponse = (HttpServletResponse)response;
String alreadyFilteredAttributeName = this.getAlreadyFilteredAttributeName();
boolean hasAlreadyFilteredAttribute = request.getAttribute(alreadyFilteredAttributeName) != null;
if (!this.skipDispatch(httpRequest) && !this.shouldNotFilter(httpRequest)) {
if (hasAlreadyFilteredAttribute) {
if (DispatcherType.ERROR.equals(request.getDispatcherType())) {
this.doFilterNestedErrorDispatch(httpRequest, httpResponse, filterChain);
return;
}
filterChain.doFilter(request, response);
} else {
request.setAttribute(alreadyFilteredAttributeName, Boolean.TRUE);
try {
this.doFilterInternal(httpRequest, httpResponse, filterChain);
} finally {
request.removeAttribute(alreadyFilteredAttributeName);
}
}
} else {
filterChain.doFilter(request, response);
}
} else {
throw new ServletException("OncePerRequestFilter just supports HTTP requests");
}
}
...
}
GenericFilterBean
- Filter를 확장하여 Spring에서 제공하는 filter
- 기존 Filter에서 얻어올 수 없는 정보였던 Spring의 설정 정보를 가져올 수 있게 확장된 추상 클래스
public abstract class GenericFilterBean implements Filter, BeanNameAware, EnvironmentAware, EnvironmentCapable, ServletContextAware, InitializingBean, DisposableBean {
protected final Log logger = LogFactory.getLog(this.getClass());
@Nullable
private String beanName;
@Nullable
private Environment environment;
@Nullable
private ServletContext servletContext;
@Nullable
private FilterConfig filterConfig;
private final Set<String> requiredProperties = new HashSet(4);
public GenericFilterBean() {
}
...
}
→ 의문 : OncePerRequest는 한번에 요청 당 딱 한번만 실행되도록 하는 필터인데 왜 한번만 실행되도록 할까?
Filter 중복 호출
- forward 처리 시
forward 방식은 client 최초 요청 그대로 다른 url로 바로 전달하는 방식이다.
/forward-before API에서 forward로 다른 /forward-after API를 호출했을 때, 바로 /forward-after API를 호출하는게 아니라 다시 필터를 거쳐서 API로 호출하는 것을 알 수 있다.
@Controller
public class ForwardTestController {
@GetMapping("/forward-before")
public String forwardBefore() {
return "forward:/forward-after";
}
@GetMapping("/forward-after")
public String forwardAfter() {
return "example";
}
}
- Spring MVC error 처리시
Spring MVC는 구현한 api 내부 로직에서 exception 발생시 try catch로 따로 잡아내지 않으면 tomcat까지 에러내용이 전달됩니다.
- WAS(여기까지 전파) <- 필터 <- 서블릿 <- 인터셉터 <- 컨트롤러(예외발생)
- WAS /error 다시 요청 -> 필터 -> 서블릿 -> 인터셉터 -> 컨트롤러(/error) -> View
정리
OncePerRequestFilter가 Filter 중복 호출을 방지하고 클래스 이름 그대로 하나의 Request에 한 번만 호출되도록 하는 필터이다.
필터 중복 호출은 불필요한 리소스 낭비차원과 성능 문제 뿐만 아니라,
인증, 인가 과정에서 하나의 요청에 대해 불필요한 인증 작업을 두 번이상 진행할 수도 있는 점을 고려해보았을 때 요청 처리 과정에서 치명적인 결함이 발생할 수 있다.
예를 들어 악의적인 공격자가 세션을 탈취하여 다른 사용자로 위장하거나, 세션 데이터를 변경하여 권한을 부여하던가 URL 조작하여 보호된 리소스에 직접 액세스하는 경우에 인가 과정을 우회할 수 있다.
그렇기 때문에 한번만 필터를 호출하는 것을 고려하여 OncePerRequestFilter를 사용하자.